Security Operations onder druk: de uitdagende oplossing van mXDR

23 juli 2025 09:05

• IT ontwikkelingen

In een tijdperk waarin cyberdreiging exponentieel groeit staat Security Operations centraal in de digitale verdedigingslinie. Binnen deze capability speelt Managed Extended Detection and Response (mXDR) een opkomende rol. Idealiter biedt mXDR 24/7 monitoring, analyse en respons op security-incidenten. Maar implementatie van mXDR vraagt nogal wat van een organisatie, vooral gelet op het tekort aan experts, de groeiende IT-complexiteit en steeds meer wetgeving. Toch zullen de meeste organisaties deze uitdagingen moeten oppakken om de eveneens groeiende securityrisico’s het hoofd te bieden.

200 dagen van detectie tot inbraak

De ‘attack surface’ van organisaties is de afgelopen jaren explosief gegroeid. Werknemers werken op afstand, devices zijn mobieler, en data is verspreid over lokale servers, cloudomgevingen (IaaS, PaaS, SaaS), applicaties en netwerken. Met elke extra API, applicatie of mobiele werkplek groeit het risico. Cybercriminelen maken daar gebruik van: zij opereren steeds geraffineerder, sneller en meer gestructureerd. Dit stelt nieuwe eisen aan de beveiliging. De realiteit is dat aanvallers binnen kunnen komen – en dat ze vaak maandenlang onopgemerkt blijven. Wereldwijd ligt de gemiddelde tijd tot detectie van een inbraak nog steeds rond de 200 dagen, ondanks alle beschikbare tools en technologieën.

MDR-diensten zijn ingericht om continue waakzaamheid te bieden. Door monitoring van netwerkverkeer, logs en gedragsafwijkingen worden verdachte activiteiten sneller opgemerkt. Door de inzet van geavanceerde use cases, threat intelligence en netwerkprobes wordt geprobeerd om aanvallen zo vroeg mogelijk te detecteren en af te slaan. Technologie alléén is onvoldoende; de kwaliteit van de analyse – het verschil tussen een valse melding en een daadwerkelijk incident – hangt uiteindelijk af van menselijke expertise.

Menstekort en wildgroei

Eén van de grootste uitdagingen in cybersecurity is het vinden én behouden van gekwalificeerd securitypersoneel. De wereldwijde schaarste aan SOC-analisten en threat hunters raakt ook Nederland. Volgens schattingen ontbreekt het wereldwijd aan ruim 4 miljoen securityprofessionals, en de verwachting is dat die kloof alleen maar groeit. Tegelijkertijd biedt de opkomst van GenAI en automatisering een gedeeltelijke oplossing. Machine learning en geautomatiseerde analyse kunnen repetitieve taken verlichten, maar de interpretatie en afhandeling van incidenten vraagt nog altijd om menselijke expertise. Zonder voldoende deskundige ogen verandert 24/7 monitoring in 24/7 logging – met te late detectie als gevolg.

Naast de personeelsdruk speelt een ander dilemma: de wildgroei aan tools, databronnen en systemen maakt het moeilijk om overzicht te houden. Veel organisaties hebben tientallen applicaties draaien voor beveiliging, compliance, netwerkbeheer en operationele IT. Maar ‘meer data’ betekent niet automatisch ‘meer inzicht’. Zonder een duidelijke risk-based approach en inzicht in het eigen dreigingsprofiel, blijft detectie reactief en versnipperd. Wetgeving zoals NIS2 dwingt organisaties om gestructureerd risico's te identificeren en passende maatregelen te treffen. MDR- en mXDR-diensten moeten hierop aansluiten met contextuele prioritering en schaalbare inzichten. De kwaliteit van het security monitoring platform is daarmee cruciaal. Het moet niet alleen technisch geavanceerd zijn, maar ook flexibel genoeg om zich aan te passen aan veranderende dreigingen en specifieke klantcontexten.

MDR als inspanning

Een ander dilemma binnen MDR is het spanningsveld tussen uitbesteding en eigenaarschap. Veel organisaties kiezen voor MDR om zich te ontlasten van complexe detectie- en responsprocessen. Maar hoe meer monitoring en analyse wordt uitbesteed, hoe groter het risico op verlies van grip en inzicht. Wie bepaalt welke incidenten worden gemeld? Hoe worden meldingen geprioriteerd? Wat gebeurt er als er direct actie nodig is? Transparantie over meldingen, analyses, en responsadviezen is essentieel. Alleen dan kunnen organisaties intern verantwoording afleggen én hun securitybeleid onderbouwen richting klanten, auditors en toezichthouders.

MDR is in potentie een krachtig instrument om securitycapaciteit te versterken, vooral voor organisaties die nauwelijks of niet over een Security Operations Center (SOC) beschikken dat kan monitoren, detecteren, analyseren en reageren op beveiligingsincidenten. SOC-teams bestaan doorgaans uit beveiligingsanalisten, engineers en specialisten in incidentrespons, en werken in principe 24/7 om digitale dreigingen in real time te signaleren en aan te pakken. MDR vereist hierboven een investering in mensen, processen én technologie. Het vraagt om samenwerking tussen dienstverleners en organisaties, waarbij kennis, verantwoordelijkheid en transparantie gedeeld worden. Dit is geen geringe opgave, maar voor veel organisaties inmiddels wel noodzaak.

Justin Post, Cyber Security Director KPN Zakelijk

Interessant artikel? Deel het: